In modo informale, si definisce sicurezza l'insieme delle misure, sia di tipo organizzativo che di tipo tecnologico, tese ad assicurare a ciascun utente autorizzato, e a nessun altro, tutti e soli i servizi previsti per quell'utente con i tempi e le modalità previste.
Se andiamo a vedere la definizione fornita dall'ISO possiamo dire che la sicurezza è l'insieme degli sforzi dedicati ad assicurare la protezione dei dati e delle risorse di calcolo in termini di integrità , riservatezza e disponibilitÃ
dove
Integrità : Il sistema deve impedire l'alterazione diretta o indiretta delle informazioni, sia da parte di utenti e processi non autorizzati, che a seguito di eventi accidentali.
Disponibilità : Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle quali ha diritto di accedere nei tempi e nei modi previsti
Riservatezza: Nessun utente deve poter ottenere o dedurre dal sistema informazioni che non è autorizzato a conoscere.
In generale le tecnologie utilizzate per la gestione della sicurezza sono riassunte nella seguente tabella:
Si devono quindi creare delle politiche di sicurezza (security policy) che definiscono in modo inequivocabile cosa si deve e cosa non si deve poter fare sulla rete e le modalità di accesso alle risorse della rete stessa. Una buona politica di sicurezza deve tenere conto di:
- Definizione delle modalità di accesso a tutte le risorse aziendali, siano esse hardware che software
- Definizione delle modalità di gestione degli utenti, dei gruppi di lavoro e delle autorizzazioni
- Definizione delle modalità di creazione delle user e delle password
- Definizione della protezione perimetrale tramite l'installazione e la configurazione di uno o più firewall
- Definizione delle politiche di prevenzione valutando l'installazione e la configurazione di Intrusion Detection System e Antivirus...
- Definizione delle politiche di manutenzione dei sistemi e di aggiornamento degli stessi per l'eliminazione delle vulnerabilitÃ
- Definizione delle politiche da attuare per prevenire attacchi (volontari o involontari) da parte di utenti interni
- Definizione delle politiche per la gestione della posta elettronica e dei servizi di trasmissione dati (FTP, Telnet,...)
- Analisi della sicurezza dell'attuale sistema aziendale
- Analisi delle politiche di miglioramento della sicurezza aziendale
- Analisi delle controindicazioni dell'applicazione delle policy di sicurezza (riduzione dell'ergonomia, aumento dei tempi di risposta,...)
- Sensibilizzazione e formazione degli utenti (ad ogni livello di gerarchia aziendale) su quali sono i problemi legati alla sicurezza, sulle regole da osservare quando si naviga sulla rete e alle operazioni da attuare in caso di violazione del sistema
Si tenga comunque presente che è impossibile creare una policy di sicurezza che protegga al cento per cento un sistema informativo: ogni giorno vengono scoperte nuove falle alla sicurezza che non è possibile sanare completamente in quanto la correzione di un baco può influire con il corretto funzionamento del sistema (ad esempio riducendo i tempi di risposta) oppure può introdurre dei vincoli che non sempre l'azienda può accettare (ad esempio l'impossibilità di eseguire l'upgrade di un software). Chi crea la policy di sicurezza deve eseguire il bilancio fra i costi (denaro speso, perdita di produttività , aumento della complessità del sistema) e i benefici (impossibilità di intercettazione delle informazioni, impenetrabilità di un sistema,...) derivanti dall'applicazione delle tecnologie per la protezione dei sistemi cercando di trovare il compromesso più adatto alla propria realtà aziendale. La cosa più importante e ricordare che bisogna sempre accettare un rischio residuo: tale rischio può essere minimizzato ma non potrà mai essere eliminato completamente. In alcuni casi poi, la necessità di avere maggiori performance richiede, purtroppo, la riduzione dei controlli di sicurezza da applicare ai sistemi informativi aziendali.
|
